AI 周刊 #6：欧盟 AI 法案生效，开发者该怎么办

如果你是 AI 开发者，不管你在世界的哪个角落，本周都需要关注一件事：欧盟 AI 法案（EU AI Act）的核心条款于 2 月 2 日正式进入执行阶段。这不再是"未来某天可能影响你"的事情，而是"现在就需要开始准备"的事情。

EU AI Act：到底在管什么？

让我们用最简洁的方式梳理这部法案的核心框架。欧盟将 AI 系统按风险等级分为四类：

不可接受的风险（直接禁止）

• 政府对公民的社会评分系统
• 利用人的弱点（年龄、残疾）进行操纵的 AI
• 在公共场所进行实时生物特征远程识别（有限例外）
• 基于敏感特征的预测性执法

高风险（严格监管）

• 关键基础设施管理（能源、交通、供水）
• 教育和职业培训领域的 AI（招生、考试评分）
• 就业和招聘相关的 AI（简历筛选、面试评估）
• 信用评估和保险定价 AI
• 执法和司法中使用的 AI

有限风险（透明度要求）

• 聊天机器人：必须让用户知道他们在和 AI 对话
• 深度伪造内容：必须标注为 AI 生成
• 情感识别系统：必须告知用户正在被分析

最小风险（无额外要求）

• AI 游戏、垃圾邮件过滤器等

注意：通用大模型（GPT、Claude、Gemini 等）被归入一个新的类别——“通用目的 AI 模型”（GPAI），有一套独立的要求。

对开发者的实际影响

如果你在开发高风险 AI 系统

你需要：

1. 风险管理系统：建立并维护一个覆盖整个 AI 生命周期的风险评估流程
2. 数据治理：训练数据必须满足质量、相关性和无偏见的要求
3. 技术文档：详细记录模型的训练过程、能力边界和已知限制
4. 日志记录：系统必须自动记录运行日志，保留期限不少于 6 个月
5. 人类监督：必须设计人类可以介入和覆盖 AI 决策的机制
6. 准确性和鲁棒性：必须达到声称的性能水平，并对对抗攻击有基本防御
7. CE 标志：通过合规评估后获得认证标志

这听起来工作量巨大？确实。但好消息是，大多数要求都有 过渡期——高风险系统的完全合规截止日期是 2027 年 8 月。

如果你在使用通用大模型 API

好消息：合规责任主要在模型提供商（OpenAI、Anthropic、Google 等）身上。他们需要：

• 发布训练数据使用情况的摘要
• 遵守欧盟版权法
• 进行系统风险评估（针对超大规模模型）

但如果你在大模型基础上开发了高风险应用（比如用 GPT-4 做简历筛选），应用层的合规责任在你。

如果你的用户在欧盟，但你不在

和 GDPR 一样，EU AI Act 的管辖范围是属地 + 属人的。只要你的 AI 系统被欧盟境内的人使用，你就在管辖范围内。

全球连锁反应

欧盟 AI 法案的影响远不止欧洲。正如 GDPR 催生了全球的数据保护立法浪潮，EU AI Act 也正在引发类似的连锁反应：

美国： 虽然联邦层面仍未通过统一的 AI 法案，但科罗拉多州、加利福尼亚州和纽约州已经出台了各自的 AI 监管规定。加州的 SB 1047 号法案要求大规模 AI 模型的开发者承担安全评估义务。

中国： 已经实施了《生成式人工智能服务管理暂行办法》，在内容审核、算法透明度和数据合规方面有严格要求。《人工智能法（草案）》正在征求意见中。

日本： 采取了相对宽松的"敏捷治理"路线，更依赖行业自律而非硬性法规。

巴西、印度、韩国： 都在不同阶段推进各自的 AI 法规。

一位在硅谷和欧洲都有业务的创始人告诉我们：“我们已经不再问’要不要合规’了，而是在问’怎么用最高的标准做一套合规方案，然后在全球通用’。”

开发者的合规清单

不管你现在做的是什么 AI 项目，以下是一个最小化的合规准备清单：

立即行动：

• 评估你的 AI 系统在 EU AI Act 中的风险等级
• 如果你的产品面向欧盟用户，咨询法律顾问
• 在 AI 交互界面添加"这是 AI 生成的内容"的标注
• 记录你使用的训练数据来源

短期准备（3-6 个月）：

• 建立 AI 系统的技术文档模板
• 实现基本的日志记录和审计功能
• 设计人类监督机制（至少是一个"人工复核"按钮）
• 进行一次基本的偏见审计

中期规划（6-18 个月）：

• 建立完整的风险管理流程
• 实施数据质量管理体系
• 准备 CE 认证所需的材料（如果适用）
• 培训团队了解合规要求

本周其他要闻

• OpenAI 成立合规咨询委员会，帮助企业客户应对全球 AI 法规
• Anthropic 发布"Responsible Scaling Policy"第三版，首次对外公开了其内部的 AI 安全评估框架
• Google 与欧盟委员会达成协议，承诺在 Gemini 中实施更严格的内容标注
• Meta 因 Llama 4 的训练数据问题被法国 CNIL 调查，焦点是是否使用了欧盟用户的公开数据
• 中国信通院发布《大模型安全评估标准》（第二版），新增了多模态内容安全要求

编辑手记

法规从来不是创新的敌人。安全带没有杀死汽车工业，隐私条例没有杀死互联网，AI 法规也不会杀死 AI。

但法规确实会改变行业的走向。它会让那些"先跑起来再说"的玩家慢下来，让那些"从一开始就认真做"的玩家获得优势。

如果你是一个认真的 AI 开发者，合规不是成本，而是竞争力。

下周见。

本文由 AIEII 编辑部撰写。本文不构成法律建议，具体合规问题请咨询专业律师。